メインコンテンツへスキップ
公開日: 2017年12月4日 CVE 番号: CVE-2017-17068 謝辞: @AppCheckNG

概要

auth0.js JavaScript library に脆弱性が確認されており、8.12 未満のバージョンが影響を受けます。 サイトまたはアプリケーションで auth0.popup.callback() を使用するポップアップコールバックページを利用している場合、攻撃者が制限のないクロスオリジンの post message リクエストを悪用し、ログイン済みユーザーのトークンにアクセスできる可能性があります。悪意のある Web サイトは、取得した を使用して、ユーザーに代わってサービスを呼び出す可能性があります。 この更新では、オリジン検証を実装し、指定されたドメイン以外のページにはメッセージを投稿できないようにすることで、この脆弱性に対処しています。ドメインが指定されていない場合は、コールバックページがホストされているドメインのみが許可されます。この場合、攻撃者にはクロスオリジンリクエストエラーが返されます。 この脆弱性に対処するには、ライブラリのアップグレードが必要です。

影響を受けますか?

次のいずれかに該当する場合、この脆弱性の影響を受けます。
  • 8.12未満のバージョンのauth0.jsを使用している
  • コード内でauth0.popup.callback()を使用するポップアップコールバックページを利用している

これを修正するには?

auth0.js ライブラリを使用している開発者は、最新バージョンの 8.12 にアップグレードする必要があります。 更新済みのパッケージは npm で利用できます。今後提供される追加のバグ修正を確実に受け取れるよう、package.json ファイルを更新し、当社ライブラリのパッチおよびマイナーバージョンの更新を取り込めるようにしてください。 
{
  "dependencies": {
    "auth0-js": "^8.12.0"
  }
}

この更新はユーザーに影響しますか?

いいえ。この修正はアプリケーションで実行されているライブラリに対するパッチですが、ユーザーやその現在のstate、既存のセッションには影響しません。